Verschiedenes

Nervige SSL-Zertifikat Warnung in Firefox 3 abschalten ...

... oder zumindest abmildern.
Bei Firefox 3 akzeptiert standardmäßig keine SSL-Zertfikate von unbekannten Zertifizierungsstellen (sogenannten CAs). Arbeitet man nun im non-profit Umfeld sehr stark mit selbstsignierten Zertifikaten oder solchen von beispielsweise CAcert.org, so kann einen dieses Verhalten sehr schnell auf die Palme bringen, da man erst umständlich eine Ausnahme für die jeweilige Webseite hinzufügen muss.
Dies lässt sich jedoch zumindest ein klein wenig komfortabler gestalten:

• Die Konfigurationsseite des Firefox (durch Eingabe von about:config in der Adresszeile) öffnen.
• Den Wert browser.xul.error_pages.expert_bad_cert suchen und per Doppelklick auf true setzen.
• Der Wert browser.ssl_override_behavior auf 2 setzen.

Nun kann man ganz bequem beim Betreten der jeweiligen SSL-geschützten Webseite über den Button "Add Exception" und (darauf achten, dass der Haken bei "Permanently store this exception" gesetzt ist) dann mit "Confirm Security Exception" bestätigen.

Problem: Keine Daten über VPN-Verbindung

Bei einer VPN-Verbindung ist lediglich das Pingen möglich, eine Daten-Verbindung kann jedoch nicht aufgebaut werden.
Mögliche Lösung: MTU-Rate ist ggf. zu hoch eingestellt.
HowTo: Um herauszufinden, ob es wirklich an der MTU-Rate liegt, kann man beispielsweise einen ping (zum VPN-Server) mit einer bestimmten Paket-Größe absetzen.
Unter Windows: ping ip-addr -f -l paketgroesse
Unter Linux: ping ip-addr -M do -s paketgroesse
Erhält man folgende Fehlermeldung Paket müsste fragmentiert werden, DF-Flag ist jedoch gesetzt. (Linux: ... Frag needed and DF set ...), so ist das Paket zu groß.
Nun kann man mit den Werten ein wenig spielen (verkleinern), bis man eine positive Antwort erhält Antwort von 127.0.0.1: Bytes=1450 Zeit<1ms TTL=128.
Hierbei ist jedoch zu beachten, dass eine VPN-Verbindung einen entsprechenden Paket-Overhead erzeugt, d.h. die wirkliche MTU-Rate, die im Betriebssystem eingetragen wird, sollte ein wenig geringer sein, als die Rate, mit der das Pingen gerade funktioniert.

Über die Netzwerk-Einstellungen der entsprechenden Verbindung lässt sich die MTU-Rate problemlos verändern (Windows XP: Rechtsklick auf die entsprechende (VPN-)Verbindung, dann auf Eigenschaften und beim (virtuellen) Interface auf "Konfigurieren...", dann auf den Tab "Erweitert" und MTU auswählen. Nun im rechten Feld den ermittelten Wert eintragen (in diesem Fall 1200)). Zwei Erfahrungswerte: T-Online -> Hetzner: 1500 manitu -> Hetzner: 1200

SSL und SSH auf demselben Port

Hin und wieder steht man vor dem Problem, dass man einen Webserver mit SSL und einen SSH-Server auf dem selben Port (443) laufen lassen möchte, damit insbesondere der SSH-Server auch von hinter einer Firewall erreichbar ist.
Hier setzt SSLH an. SSLH wurde in Perl implementiert und entscheidet anhand der Verbindungsaufnahme des Clients, an welchen internen Dienst die Verbindung nun weitergeleitet wird. Zu beachten gilt allerdings, dass man dem Web- und SSH-Server mitteilen muss, dass sie nur auf dem lokalen Port lauscht (127.0.0.1), denn andernfalls kommen sie sich mit dem SSLH in die Quere. Andernfalls kann man auch einfach die internen Ports des Web- bzw. SSH-Servers umbiegen.